從內(nèi)網(wǎng)護(hù)衛(wèi)到零信任尖兵:騰訊iOA煉成記

  • 人閱讀
  • 2023-05-19 09:18:08

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

Made in Tencent

騰訊既是企業(yè)產(chǎn)品的服務(wù)商又是使用者,很多產(chǎn)品最原始的出發(fā)點最早只是為了解決騰訊自身某一個需求,經(jīng)過不斷地發(fā)展完善和業(yè)務(wù)場景錘煉,最終進(jìn)化成一個成熟的企服產(chǎn)品。本系列文章講述的是這樣一組Made in Tencent故事,這是系列的第一篇。

導(dǎo)讀:2022年5月,騰訊宣布辦公終端安全產(chǎn)品零信任iOA部署量超過100萬。這不僅是騰訊自身的里程碑,也是零信任在中國商業(yè)化落地的一個標(biāo)志性事件,它驗證了零信任在規(guī)模化商用上的可落地性。

這不是偶然,是一個騰訊自身內(nèi)網(wǎng)辦公安全厚積薄發(fā)和新IT浪潮不謀而合的故事。

2016年7月,WeWork獲A輪融資,估值高達(dá)160億美元。這家始于2011年的共享辦公空間鼻祖,經(jīng)歷了幾年發(fā)展后,成為一時無兩的當(dāng)紅炸子雞。同年,WeWork也正式進(jìn)入中國市場。

WeWork在資本市場的成功是一個縮影,它反映的是“移動辦公”這個被IT行業(yè)心心念念了很多年的夙愿,在21世紀(jì)的第二個十年,終于在全球形成了燎原之勢。

從天時地利人和的角度,網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的發(fā)展是一方面,另一方面是在終端硬件上,智能手機(jī)的普及,相當(dāng)于人人有了一臺便攜微型電腦——它能完成審批、收發(fā)郵件、編寫文檔、處理工作流——讓移動辦公具備了硬件上的可能性。

Anytime、Anywhere都可以工作,當(dāng)這種愿望從個體行為變成一種組織行為,這就為企業(yè)的IT部門帶來了一些工程實現(xiàn)上的問題。對于騰訊來說,支撐騰訊幾萬員工無論在哪里都能在遠(yuǎn)程接入公司內(nèi)網(wǎng)工作,保障安全和易用,就是IT部的職責(zé)所在。

始于安全

很多人潛意識里會把零信任辦公產(chǎn)品和VPN、遠(yuǎn)程辦公劃上一個等號,其實從語干上看,遠(yuǎn)程辦公首先是“辦公”其次才是“遠(yuǎn)程”。對于一個企業(yè)IT部門來說,辦公的問題首先是安全的問題——這很容易理解,假設(shè)你是一個網(wǎng)吧的管理員,你做“網(wǎng)管”的第一件事情也是給每一臺電腦裝上一個殺毒軟件。

2006年前后,騰訊企業(yè)IT部門投入了重兵在辦公環(huán)境的安全治理,自研了企業(yè)安全防護(hù)和工作環(huán)境管理工具iOA。知名安全媒體《淺黑科技》對于早期iOA做過一個貼切的“畫像”:

你喜歡電腦裸奔沒問題,但iOA如果監(jiān)測不到殺毒軟件,就不允許你進(jìn)入工作程序;

你記不住給系統(tǒng)打補(bǔ)丁,iOA會在補(bǔ)丁出來的第一時間,強(qiáng)制為你的電腦打上;

你忘記關(guān)閉電腦的高危端口,iOA直接幫你關(guān)閉;

你的電腦感染了木馬病毒,iOA會自動清理;

……

總結(jié)起來,iOA就是一個給每一個企業(yè)員工終端配備了一個金鐘罩鐵布衫,保護(hù)辦公系統(tǒng)不受壞人攻擊。

做了這么多工作,聽起來似乎電腦除了干這些也沒法再做別的工作了。但是騰訊iOA的厲害之處在于,在完成這么多任務(wù)的情況下,它的性能損耗能壓縮在單核CPU的5%以下。

羅馬不是一天建成的,騰訊iOA也不是。從2006年開始,到移動辦公浪潮起來之前,已經(jīng)過去了差不多十年,這十年間,騰訊iOA經(jīng)歷了防御普通的病毒木馬、職業(yè)黑客、到后來的APT攻擊幾個完整的技術(shù)代際更迭,“無論是對抗廣譜病毒木馬還是APT木馬,我們都有很好的防范能力。”企業(yè)IT部企業(yè)安全中心高級總監(jiān)蔡晨總結(jié)。

前移動辦公時代也有很多精彩的故事,但這不是我們今天要說的主題。重點是,正是因為在安全能力上的積累,給了他們后來“打破邊界”的底氣。

移動辦公時代到來了

遠(yuǎn)程辦公,意味著傳統(tǒng)意義上以硬件和局域網(wǎng)絡(luò)組成的“內(nèi)網(wǎng)”邏輯不復(fù)存在,用戶需要在遠(yuǎn)程設(shè)備上通過網(wǎng)關(guān)接入內(nèi)網(wǎng),要對這樣的訪問放行,企業(yè)安全部門至少要問一個問題:這個用戶可信嗎?

image.png

VPN的誕生就是為了解決這個問題。VPN就像是一條只有“自己人”知道的小路,員工可以通過這條加密通道訪問企業(yè)數(shù)據(jù)中心、辦公網(wǎng)。它的認(rèn)證方式是口令認(rèn)證,只要你輸入了對的賬號密碼,它就默認(rèn)你是自己人。

遠(yuǎn)程辦公不是這兩年才出現(xiàn)的新場景,一直以來,因為員工出差、惡劣天氣等原因,很多企業(yè)都需要時不時地開展遠(yuǎn)程辦公,而VPN在很長時間內(nèi)都是唯一選擇。

但不難看出,VPN有明顯的缺陷:第一,它是“小路”,只能容納比較小的工作traffic,例如遠(yuǎn)程審批、收發(fā)郵件、遠(yuǎn)程登錄到內(nèi)網(wǎng)本地機(jī)器完成一些特定工作;第二,VPN使用的長連接機(jī)制,連接速度緩慢,抗網(wǎng)絡(luò)抖動性差,“只要丟包超過30%或者延時超過200毫秒,一定會掉線”。

第三,也是最重要的,VPN只認(rèn)口令,而口令是可以被竊取、被爆破的。VPN用戶只要通過遠(yuǎn)程鑒權(quán)(甚至都不一定是雙重鑒權(quán)),就可以進(jìn)入內(nèi)網(wǎng),接著就可以在內(nèi)網(wǎng)橫行無阻——這意味著,如果用戶的終端被病毒感染,或者VPN賬號被爆破,它就能被黑客用來充當(dāng)“肉雞”或者攻擊內(nèi)網(wǎng)的工具。

在移動互聯(lián)網(wǎng)發(fā)展起來之前,遠(yuǎn)程辦公多數(shù)是一些臨時的、突發(fā)的需求,不是常態(tài),因此即便VPN不好用是眾所周知,但它依然有其長期存在的市場基礎(chǔ)。但當(dāng)移動辦公成為一個高頻需求,VPN就愈發(fā)顯得捉襟見肘。

為了解決安全隱患,蔡晨團(tuán)隊決定多問幾個問題:

“端是不是可信?人是不是可信?進(jìn)程可不可信?每一個數(shù)據(jù)包,你是不是要校驗里面的設(shè)備信息人身份信息、進(jìn)程信息?你訪問的業(yè)務(wù)系統(tǒng)是不是要被授權(quán)?”

他們后來才知道,這種什么都要校驗、一直校驗的想法,國際上有一個專業(yè)的名字叫“零信任”,它的核心思想就是“持續(xù)驗證,永不信任”。

當(dāng)騰訊企業(yè)IT部的人正在嘗試新的“無邊界訪問”方法的時候,他們看到了谷歌發(fā)布的一篇論文《BeyondCorp:一種新的企業(yè)安全方案》,知道了大洋彼岸的另一端,世界上另一個前沿的科技公司也在用同樣的思路解決同樣的困擾。

“谷歌BeyondCorp的目標(biāo)是摒棄對企業(yè)特權(quán)網(wǎng)絡(luò)(內(nèi)網(wǎng))的依賴并開創(chuàng)一種全新安全訪問模式,在這種全新的無特權(quán)內(nèi)網(wǎng)訪問模式下,訪問只依賴于設(shè)備和用戶身份憑證,而與用戶所處的網(wǎng)絡(luò)位置無關(guān)。無論用戶是在公司“內(nèi)網(wǎng)”、家庭網(wǎng)絡(luò)、酒店還是咖啡店的公共網(wǎng)絡(luò),所有對企業(yè)資源的訪問都要基于設(shè)備狀態(tài)和用戶身份憑證進(jìn)行認(rèn)證、授權(quán)和加密。”

image.png

圖源:Google官方博客

距今一萬多年前,西亞新月沃地和中國黃河流域分別獨立完成了糧食的馴化;11-12世紀(jì),中國四川開始使用“交子”作為貨幣符號,而歐洲圣殿騎士團(tuán)也發(fā)明了匯票——歷史總是相似,面對同一類問題,人們最終都會走向相同的解決思路。

谷歌在論文中沒有寫具體是如何實施的,但它堅定了騰訊企業(yè)IT部的信心:這個方向是對的。

2017 年,在經(jīng)過一段時間的原型驗證后,騰訊企業(yè)IT部正式啟動 iOA NGN(Next Gerneration Network)項目,用零信任的思想重構(gòu)iOA產(chǎn)品。他們的目標(biāo)概括起來是4個A:Anytime、Anywhere、AnyDevice和AnyWork,讓員工在任何時候、任何地方、任何設(shè)備接入內(nèi)網(wǎng)完成任何內(nèi)容的工作。

依托于零信任理念,騰訊iOA NGN把安全性和易用性這對冰與火奇跡般地融合在了一起。它利用一切可用的方式在后臺對用戶的設(shè)備、ID、訪問進(jìn)程、權(quán)限始終進(jìn)行校驗,但在前端,用戶的感受就是“一鍵登錄”。此外,iOA NGN采用短鏈接的方式,對于弱網(wǎng)絡(luò)、丟包有很高的容忍度,告別了VPN時代的頻繁掉線、半天連不上的困擾。

image.png

蔡晨2018年在騰訊安全國際技術(shù)峰會上分享新的企業(yè)安全理念

依托于騰訊云的計算資源部署的就近接入點,員工無論身在網(wǎng)絡(luò)狀況良好的城市CBD、小運營商遍布的城中村,還是春節(jié)回老家在鄉(xiāng)下時斷時續(xù)的網(wǎng)絡(luò),無論是出差荷蘭還是日常辦公地在河南,任何地方都能絲滑地接入內(nèi)網(wǎng)。很快iOA NGN就迎來了第一批用戶,并且通過口碑傳播自發(fā)增長。

“最早一批使用的是運維的用戶,他們自己去告知周邊的人去使用iOA的新版本;還有一些部門管理者去國外出差,用了新版本的iOA發(fā)現(xiàn)體驗很好,就會在自己的管理范圍內(nèi)去推。”企業(yè)IT部資深工程師蔡東赟回憶。

除了內(nèi)部的口碑傳播,一些互聯(lián)網(wǎng)廠商的同行不知道從哪里打聽到騰訊的iOA,也來拜訪交流。“RSA(按:國際上最富盛名的安全會議)上也在講零信任,創(chuàng)新沙盒里也有零信任創(chuàng)業(yè)公司,所以很多很關(guān)注技術(shù)進(jìn)展的同行也來跟我們交流,看看我們是怎么做的。”

騰訊企業(yè)IT部人群的主要構(gòu)成是工程師,他們和同行交流以及后來幫騰訊CSIG團(tuán)隊做商用版iOA的技術(shù)支持,主要的驅(qū)動力都是很典型的Geek們的想法:他們做了一個好東西 ,他們希望和別人分享,希望別人評價一句“牛*”。

我們能承接幾萬人同時在線辦公嗎?

你開了一家披薩店,只能同時容納50個人吃飯。開張那一天,同一條街競爭對手為了妨礙你做生意,雇了100個人坐在餐廳占滿了位置,什么都不點,讓潛在的客人沒法就餐——在計算機(jī)領(lǐng)域,這種對目標(biāo)網(wǎng)站在較短的時間內(nèi)發(fā)起大量請求,消耗目標(biāo)網(wǎng)站的主機(jī)資源以致其服務(wù)器癱瘓的做法,就是DDoS (denial of service)攻擊。

設(shè)想一下,一個企業(yè)如果只配備了基礎(chǔ)的VPN,如果有一天遇到突發(fā)情況,全員都需要遠(yuǎn)程辦公,對于規(guī)模數(shù)萬或者十?dāng)?shù)萬人的企業(yè)來說,這種情況就相當(dāng)于“人肉DDoS”。

2020年2月初,新冠來勢洶洶。為了防止病毒擴(kuò)散,很多城市開始采取了限制人員流動的隔離管控措施,復(fù)工時間一再推遲,但企業(yè)的經(jīng)營不能中斷,于是很多企業(yè)轉(zhuǎn)而通過開展居家辦公保持“停工不停業(yè)”。

彼時,騰訊作為一個擁有眾多國民級產(chǎn)品的企業(yè),微信、QQ、企業(yè)文檔、騰訊會議,以及騰訊CSIG還服務(wù)著眾多企業(yè)客戶——在線教育、健康碼、數(shù)字政務(wù)、衣食住行的服務(wù)平臺,在人員不能自由流動的時候——騰訊員工需要投入比平時更多時間來維護(hù)這些數(shù)字設(shè)施的運轉(zhuǎn),騰訊會議“40天更新迭代了14個版本”、“8天擴(kuò)容100萬核”就是發(fā)生在這期間。

數(shù)萬名員工需要在遠(yuǎn)程同時接入內(nèi)網(wǎng)辦公,而且是“全尺寸”辦公——不再是臨時性的,不再可以把一些復(fù)雜的工作留到“明天去公司再說”,他們需要在家里完成和在內(nèi)網(wǎng)一模一樣的工作內(nèi)容。比方說對于開發(fā)人員來說,一個代碼倉庫就有十幾、二十G,開發(fā)人員需要下載到本地機(jī)器上去做開發(fā)運維,如果用VPN,需要加流量、買VPN設(shè)備,而疫情期間廠家有沒有現(xiàn)貨、快遞是否通暢、廠家有沒有人能部署上架這些設(shè)備——在當(dāng)時的疫情狀況下,每一項工作的推進(jìn)都存在很大的不確定性。

“關(guān)鍵是這也已經(jīng)不是帶寬的問題,這是一個技術(shù)需要革新的問題。”蔡晨說。

得益于2017年就開始的iOA NGN項目,騰訊iOA從一萬多人使用到支持全員使用,看起來這么浩大的工程前后只用了4天時間,而且被緊急召喚到項目組的IT部員工很多當(dāng)時都在老家。“因為全是自研的,本身就是平行擴(kuò)展架構(gòu)的,對于疫情來的時候?qū)ξ覀儊碚f只需要做一個事情,能夠調(diào)度資源加入了集群里面去就可以。”蔡晨說道。

2月10日,春節(jié)后復(fù)工的第一日,8點,系統(tǒng)上顯示遠(yuǎn)程在線辦公的員工數(shù)近3 萬;到11點半左右,5萬騰訊員工同時在線,所有的工作都在有條不紊地開展。

之后大概有一個月的時間,騰訊的數(shù)萬員工都是在家里遠(yuǎn)程工作。這絲毫沒有影響運轉(zhuǎn)效率,5月13日,騰訊發(fā)布2020年第一季度業(yè)績報告,2020年Q1騰訊營收1080.65億元,同比增長26%,環(huán)比增長2%。

這次考驗之后,騰訊iOA完成了它的“成人禮”,它從技術(shù)和工程實現(xiàn)上驗證了一個大型企業(yè)全員全尺寸的遠(yuǎn)程辦公是完全可行的。

打破邊界

2018年,某地政務(wù)部門著手建設(shè)全省集中的一體化云平臺,預(yù)期要在2021年1月上線。

2020年初,正是項目攻堅時期。政務(wù)系統(tǒng)的安全性要求極高,一直以來都是要求軟件開發(fā)商駐場開發(fā),幾百名來自幾十個技術(shù)供應(yīng)商的開發(fā)人員被安排在一個酒店會議層改建的臨時辦公點,集中進(jìn)行開發(fā)攻堅工作。

疫情突然爆發(fā),集中開發(fā)是不可能了——而這種90%的工作內(nèi)容是開發(fā)和運維工作的項目,用VPN根本無法勝任。這時候,在場的一位騰訊云的工程師給負(fù)責(zé)人演示了自己電腦上的騰訊iOA——在遠(yuǎn)程接入的情況下,它既滿足安全,又能提供和駐場一樣的開發(fā)環(huán)境。對于一個開發(fā)人員來說,從VPN切換到iOA,體驗不啻于解除封印。

當(dāng)時,騰訊iOA已經(jīng)有了對外的商用版產(chǎn)品,可以直接快速部署,這個項目很快采用了零信任iOA。第二年1月,項目一期也如期上線。

image.png

騰訊iOA有兩次“打破邊界”的嘗試,第一次是產(chǎn)品意義上用零信任理念重構(gòu)產(chǎn)品架構(gòu),消弭了內(nèi)網(wǎng)和外網(wǎng)的差別,讓員工在任何地點都可以自如接入企業(yè)內(nèi)網(wǎng);第二次打破邊界是從騰訊走出去,變成一個企業(yè)級服務(wù)產(chǎn)品。從2018年10月騰訊云+峰會上,騰訊宣布推出內(nèi)網(wǎng)安全產(chǎn)品,到今天,騰訊iOA已經(jīng)被很多物流、房產(chǎn)中介、能源、泛互聯(lián)網(wǎng)等企業(yè)客戶采納。2022年5月份,騰訊iOA終端部署超過100萬。

一個嶄新的東西被市場接納,過程并不是一帆風(fēng)順。“每個廠商和甲方都有自己的理解,有人覺得零信任就是IAM,有人覺得零信任是動態(tài)口令,有人說是數(shù)據(jù)沙盒——甚至有拿上網(wǎng)行為管理系統(tǒng)的技術(shù)指標(biāo)說要招標(biāo)零信任產(chǎn)品。”騰訊安全總經(jīng)理王宇說道。

在推動商業(yè)化落地過程中,騰訊CSIG做了很多市場教育和普及的工作,頻頻參與各種行業(yè)峰會和技術(shù)沙龍進(jìn)行“布道”;也和一些對前沿技術(shù)接受度比較高的客戶貼身合作,打磨行業(yè)應(yīng)用樣板。為了促進(jìn)共識的形成,騰訊還做了幾件重要的事情:

2019年,推動國際上首個零信任安全技術(shù)標(biāo)準(zhǔn)(《服務(wù)訪問過程持續(xù)保護(hù)指南》)立項,并于2年后的2021年底正式發(fā)布;

2020年6月24日,騰訊聯(lián)合零信任領(lǐng)域多家權(quán)威產(chǎn)學(xué)研用機(jī)構(gòu)共同成立國內(nèi)首個“零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組”;

2021年7月,騰訊牽頭起草,聯(lián)合公安部第三研究所、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國移動設(shè)計院等業(yè)內(nèi)16家零信任廠商、測評機(jī)構(gòu)及用戶編制的中國第一部《零信任系統(tǒng)技術(shù)規(guī)范》;

……

“(測評規(guī)范的發(fā)布)是個巨大的里程碑,證明這個領(lǐng)域從客戶到廠家各方的數(shù)量或者市場需求整個鏈條已經(jīng)正向在流轉(zhuǎn),才會有需要引入第三方來做評測。”

去年,位于上海的一家企服廠商共啟網(wǎng)絡(luò)做出了一個大膽的決策:投入20多個人力學(xué)習(xí)騰訊iOA產(chǎn)品的安裝、實施、部署、運維,成為騰訊iOA的CSP(認(rèn)證服務(wù)廠商)。對于一家總?cè)藬?shù)都不超過100人的企業(yè)來說,這是很重大的一個投入,決定了公司未來幾年的發(fā)展?fàn)顩r。和共啟一樣,茗格科技、功勛網(wǎng)絡(luò)……更多在企業(yè)服務(wù)領(lǐng)域摸爬滾打多年的軟件和渠道商都選擇成為了騰訊iOA的合作方。

梧桐一葉而天下知秋,作為天天和客戶近距離打交道的專業(yè)企服廠商,他們一定是從眾多客戶的需求中嗅到了什么新的機(jī)會——畢竟,不管是什么行業(yè)的企業(yè),誰不需要一個又安全又高效的辦公安全系統(tǒng)呢?

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )